Sebuah serangan supply chain yang bermula dari GitHub Action "tj-actions/changed-files" awalnya menargetkan proyek open-source Coinbase sebelum berkembang menjadi serangan yang lebih luas. Serangan ini mengeksploitasi alur kerja CI/CD untuk mencuri kredensial rahasia dari repositori yang terdampak.

Palo Alto Networks Unit 42 melaporkan bahwa serangan ini dimulai dengan menyusup ke proyek agentkit milik Coinbase. Meskipun demikian, pelaku serangan tidak berhasil memanfaatkan kredensial rahasia Coinbase atau menerbitkan paket berbahaya. Insiden ini terungkap pada 14 Maret 2025 ketika ditemukan bahwa "tj-actions/changed-files" telah dimanipulasi untuk menyuntikkan kode yang mencuri informasi rahasia.

Serangan ini telah diberi tanda pengenal CVE-2025-30066 dengan skor CVSS 8.6. Menurut analisis dari Endor Labs, sekitar 218 repositori GitHub terungkap telah membocorkan kredensial sensitif, termasuk token akses untuk DockerHub, npm, dan Amazon Web Services (AWS).

Serangan ini semakin berkembang setelah diketahui bahwa GitHub Action lain, "reviewdog/action-setup," yang menjadi dependensi dari "tj-actions/changed-files," juga telah dikompromikan. Insiden ini dilacak dengan CVE-2025-30154, yang memiliki skor CVSS yang sama, yaitu 8.6.

Eksploitasi ini memungkinkan pelaku mendapatkan Personal Access Token (PAT) dari "tj-actions/changed-files," yang kemudian digunakan untuk memodifikasi repositori dan menyuntikkan kode berbahaya ke berbagai proyek yang bergantung pada action tersebut.

"Ketika 'tj-actions/eslint-changed-files' dieksekusi, rahasia CI runner dari 'tj-actions/changed-files' bocor, memungkinkan penyerang mencuri kredensial yang digunakan dalam runner, termasuk PAT milik akun pengguna GitHub tj-bot-actions," ungkap Unit 42.

Para penyerang menerapkan berbagai teknik untuk menyembunyikan jejak mereka, termasuk:

Investigasi juga menemukan bahwa beberapa akun menciptakan fork dari proyek-proyek Coinbase, seperti onchainkit, agentkit, dan x402, lalu memodifikasi file "changelog.yml" dalam repositori agentkit untuk menunjuk ke versi berbahaya dari "tj-actions/changed-files."

Salah satu aspek menarik dari serangan ini adalah perbedaan payload yang digunakan dalam setiap tahapnya. Ketika menargetkan Coinbase, pelaku secara khusus mengekstrak GITHUB_TOKEN dan memastikan kode hanya dieksekusi jika repositori milik Coinbase. Namun, dalam serangan yang lebih luas, mereka hanya mencetak semua variabel lingkungan yang mengandung kredensial ke dalam log alur kerja.

Motif utama serangan ini masih belum sepenuhnya diketahui. Namun, berdasarkan target awal terhadap Coinbase, ada dugaan kuat bahwa pelaku bertujuan untuk keuntungan finansial, terutama dalam bentuk pencurian mata uang kripto. Coinbase telah berhasil mengatasi dampak serangan ini pada 19 Maret 2025.

Serangan ini menyoroti pentingnya keamanan dalam CI/CD pipeline dan supply chain software. Berikut beberapa langkah pencegahan yang dapat diterapkan:

Serangan ini juga menegaskan bahwa ancaman terhadap ekosistem open-source semakin berkembang. Organisasi dan pengembang harus meningkatkan kewaspadaan terhadap risiko supply chain attack guna mengamankan proyek mereka dari ancaman siber yang semakin kompleks.